Keycloak: Single Sign-On ohne Microsoft

Kennst du das? Montag frueh, der erste Mitarbeiter ruft an: „Wie war nochmal mein Passwort fuer das CRM?" Eine halbe Stunde spaeter die naechste Kollegin: „Ich komm nicht mehr in die Projektablage." Nach der Mittagspause fragt jemand nach dem Zugang zum Ticketsystem.

In einem typischen Mittelstandsunternehmen jonglieren Mitarbeiter mit 10 bis 15 verschiedenen Logins. Unterschiedliche Passwoerter, unterschiedliche Regeln, unterschiedliche Ablaufdaten. Jeder Mitarbeiter vergisst im Schnitt ein Passwort pro Woche. Das bedeutet verlorene Arbeitsstunden und offene Sicherheitsluecken.

Die Loesung heisst Single Sign-On – ein Login fuer alles. Die meisten IT-Dienstleister bieten dir dafuer Microsoft Entra ID an. Das ist teuer, bindet dich an die US-Cloud und gibt deine Nutzerdaten aus der Hand. Es gibt eine bessere Option – und die ist kostenlos.

Was ist Single Sign-On – und warum braucht dein Unternehmen das?

Single Sign-On (SSO) bedeutet: Deine Mitarbeiter melden sich einmal an und haben Zugang zu allen Anwendungen. Ein Login, ein Passwort, ein zentraler Ort fuer die Benutzerverwaltung. Das aendert den Arbeitsalltag.

• Weniger Passwort-Chaos: Statt 15 Passwoerter nur noch eins – dafuer ein richtig starkes, am besten mit zweitem Faktor.
• Schnelleres Onboarding: Neuer Mitarbeiter? Account anlegen, Rollen zuweisen, fertig. Zugang zu allen Tools in Minuten statt Tagen.
• Sofortiges Offboarding: Wenn jemand das Unternehmen verlaesst, deaktivierst du einen Account – und alle Zugaenge sind gesperrt. Keine vergessenen Logins in alten Systemen.
• Mehr Sicherheit: Zentrale Passwort-Richtlinien, Zwei-Faktor-Authentifizierung fuer alle Apps und Ueberblick ueber alle Logins.

Fuer Unternehmen ab 10 Mitarbeitern ist SSO Grundlage fuer sichere IT. Weniger Support-Tickets, weniger Sicherheitsrisiken, weniger Frust. Die Frage ist: Welche Loesung nimmst du dafuer?

Microsoft Entra ID: Was kostet dich die Bequemlichkeit?

Die meisten IT-Dienstleister greifen zu Microsoft. Entra ID (frueher Azure Active Directory) ist der SSO-Standard im Microsoft-Oekosystem. Es funktioniert – aber zu welchem Preis?

• Lizenzkosten: Entra ID P1 kostet 6 USD pro User und Monat (~5,50 EUR). P2 mit erweiterten Features: 9 USD (~8,25 EUR). Bei 50 Mitarbeitern zahlst du ueber 3.300 EUR im Jahr – nur fuer die Anmeldung.
• US-Cloud-Pflicht: Deine Nutzerdaten, Login-Protokolle und Zugriffsrechte liegen auf Microsoft Azure. Der CLOUD Act erlaubt US-Behoerden Zugriff – auch auf Daten in EU-Rechenzentren.
• Microsofts eigene Aussage: Der Leiter der Rechtsabteilung von Microsoft France hat im Juli 2025 vor dem franzoesischen Senat bestaetigt, dass EU-Rechenzentren nicht vor US-Zugriff schuetzen. Die sogenannte „EU Data Boundary" ist technisch umgesetzt, aber rechtlich wertlos.
• Vendor Lock-in (Anbieter-Abhaengigkeit): Einmal im Microsoft-Oekosystem, kommst du schwer wieder raus. Jede zusaetzliche Microsoft-Lizenz verstaerkt die Bindung.

Keycloak: Die Open-Source-Alternative, die alles kann

Keycloak ist ein Open-Source-System fuer Identity- und Access-Management (IAM) – also zentrale Verwaltung von Benutzerkonten und Zugriffsrechten. Entwickelt von Red Hat, seit 2023 ein CNCF Incubating Project (Cloud Native Computing Foundation – die Organisation hinter Kubernetes). Lizenz: Apache 2.0, kostenfrei nutzbar.

Was Keycloak kann:

• Single Sign-On ueber OpenID Connect (OIDC) und SAML – beides Standardprotokolle fuer sichere Anmeldung, die auch Entra ID nutzt.
• Zwei-Faktor-Authentifizierung (2FA) mit TOTP-Apps (zeitbasierte Einmal-Passwoerter) wie Google Authenticator oder Authy – direkt eingebaut.
• Passkeys und WebAuthn (Web-Authentifizierung per Hardware-Schluessel oder Biometrie) seit Version 26.3 – Login per Fingerabdruck oder Gesichtserkennung, ohne Passwort.
• Social Login: Mitarbeiter melden sich ueber bestehende Accounts an (Google, GitHub etc.) – wenn du das erlaubst.
• User Federation (Benutzerverzeichnis-Anbindung): Verbindung zu bestehenden LDAP-Verzeichnissen (zentralen Benutzer-Datenbanken) oder Active-Directory-Systemen. Du musst nicht bei null anfangen.
• Fein granulare Rollen und Rechte: Wer darf was in welcher App? Alles zentral steuerbar.

Keycloak liefert alles, was Entra ID bietet – ohne Lizenzkosten, ohne US-Cloud und ohne Anbieter-Abhaengigkeit. Der Quellcode liegt offen. Du oder dein Dienstleister prueft jederzeit, was die Software tut. Keine Black Box, keine versteckten Datenabfluesse.

Wie sieht das in der Praxis aus? So nutzen wir Keycloak

Bei uns laeuft Keycloak als Docker-Container auf einem Hetzner-Server mit Coolify . Die Installation? Ein Klick in Coolify, fertig. Kein Kubernetes-Cluster, keine aufwaendige Infrastruktur.

Damit melden sich unsere Team-Mitglieder einmal an und haben Zugang zu:

• Coolify (unser Deployment-Tool)
• Nextcloud (Dateien, Kalender, Kontakte)
• EspoCRM (Kundenverwaltung)
• Interne Web-Anwendungen

Ein neuer Freelancer braucht Zugang? Account in Keycloak anlegen, Rolle zuweisen – in zwei Minuten hat er Zugriff auf die relevanten Tools. Projekt vorbei? Account deaktivieren, alle Zugaenge sind sofort gesperrt.

Das laeuft auf einem Server fuer 5 bis 10 Euro im Monat. Keine Pro-User-Lizenzen. Egal ob 5 oder 50 User – der Preis bleibt gleich. Weil Keycloak Standardprotokolle spricht (OIDC, SAML), binden wir jede Web-Anwendung an.

Ist das sicher genug? Keycloak, NIS-2 und Compliance

„Open Source auf dem eigenen Server – ist das sicher genug?" Diese Frage hoeren wir bei fast jedem Erstgespraech. Kurze Antwort: Ja – und sicherer als die Alternative.

Red Hat und eine grosse Community pflegen Keycloak. Sicherheitsupdates erscheinen regelmaessig. Der Code ist oeffentlich einsehbar – Schwachstellen werden schneller gefunden als bei proprietaerer Software hinter verschlossenen Tueren.

Seit Dezember 2025 ist die NIS-2-Richtlinie (EU-Gesetz fuer Cybersicherheit) in Deutschland umgesetzt. Sie betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und fordert unter anderem:

• Multi-Faktor-Authentifizierung (MFA) fuer kritische Zugaenge
• Ein Informationssicherheits-Managementsystem (ISMS) – also dokumentierte Prozesse fuer IT-Sicherheit
• Regelmaessige Risikoanalysen
• Persoenliche Haftung der Geschaeftsfuehrung bei Verstoessen

Weil Keycloak auf deinem eigenen Server laeuft, hast du die volle Kontrolle ueber die Daten. Kein Drittland-Transfer, kein CLOUD Act. Das ist Datensouveraenitaet in der Praxis.

Lohnt sich der Umstieg? Kostenvergleich und naechste Schritte

Zahlen sprechen fuer sich. Hier der direkte Vergleich zwischen Keycloak auf einem eigenen Server und Microsoft Entra ID P1:

Die Serverkosten bleiben bei Keycloak gleich – egal ob 5 oder 500 User. Bei Entra ID waechst die Rechnung linear mit jedem Mitarbeiter. Auf 5 Jahre gerechnet sparst du bei 50 Usern ueber 15.000 EUR. Die Entra-ID-P2-Lizenzen mit Conditional Access (bedingten Zugriffsregeln) kosten nochmal 50 Prozent mehr.

„Aber wir brauchen Know-how fuer den Betrieb!" – Stimmt. Deshalb gibt es uns. Wir betreiben diesen Stack taeglich und richten Keycloak fuer Unternehmen ohne eigene IT-Abteilung ein. Setup, Konfiguration, Anbindung deiner Apps, laufende Wartung – alles aus einer Hand.

Fazit

Single Sign-On ist kein Enterprise-Thema mehr. Jedes Unternehmen mit mehr als einer Handvoll Mitarbeitern profitiert davon. Die Frage ist: Zahlst du jeden Monat pro Kopf an Microsoft und schiebst deine Nutzerdaten in die US-Cloud – oder entscheidest du dich fuer eine Loesung, die dir gehoert?

Keycloak liefert alles, was du brauchst: SSO, MFA, Passkeys, Benutzerverwaltung und Compliance-taugliche Audit-Logs. Open Source, auf deinem Server, unter deiner Kontrolle. Die Einrichtung ist ueberschaubar, die laufenden Kosten minimal.

Wer seinen Passwort-Manager schon selbst hostet, hat den schwersten Schritt gemacht. Keycloak ist der naechste Baustein auf dem Weg zur digitalen Unabhaengigkeit.

Haeufig gestellte Fragen